Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

martes, 7 de abril de 2009

Waledac. Seguimiento detallado de una amenaza latente

Las noticias controversiales de los últimos días en torno al gusano Conficker, han "tapado" bastante las acciones dañinas de otras amenazas que, por su menor cobertura mediática, no han tenido una significativa publicidad ni demanda por parte de los medios de información, o desinformación en algunos casos. Sin embargo, aún así, siguen aumentando su cobertura de infección. Uno de estos casos es Waledac.

Este troyano, cuya campaña de infección comenzó a gestarse a través de un amplio repertorio de amorosas imágenes y, últimamente falsas noticias sobre explosiones, utilizadas como estrategias de Ingeniería Social, sigue teniendo un alto índice de infección a nivel global. En este sentido, muchos esperamos que en cualquier momento, al estilo Nuwar, modifique nuevamente la estrategia de engaño visual.

Sudosecure viene realizando un excelente trabajo rastreando los pasos de Waledac desde su aparición ofreciendo informes actualizados con datos detallados sobre el estado actual del troyano. De este seguimiento podemos desprender información como por ejemplo, el top 10 de los binarios más descargados y las 10 direcciones IP más utilizadas para descargarlos.

Los 10 países que más propagan Waledac y los 10 dominios más utilizados.

Incluso, el número de direcciones IP propagando el troyano en los últimos 30 días.

Claramente se percibe el grado de propagación a nivel global. Y cada vez que veo cosas por el estilo, me pregunto cuál es el nivel de propagación, en este caso, de Waledac a nivel local (Argentina). Esta información también puede ser desprendida de las estadísticas que se encuentran en sudosecure.

Para clarificar un poco la incógnita, he realizado un sencillo gráfico que muestra la relación de dominios, direcciones IP y ubicación desde la cuál se produce la diseminación de Waledac.

Es decir, cada una de las direcciones IP representa un equipo infectado. El gráfico está realizado en base a los primeros 50 dominios que propagan Waledac desde la Argentina.

En algunos casos notarán que una misma dirección IP es utilizada por varios dominios y viceversa, esto es porque Waledac utiliza mecanismos complejos de propagación como lo son las redes Fast-Flux.

Quizás muchos de nosotros nos olvidemos que Waledac transforma los equipos de usuarios desprevenido en zombis para alimentar, aún más, la importante botnet desde la cual, entre otras cosas, distribuye spam de manera distribuida.

Información relacionada
Más Waledac en acción ¿Puedes adivinar cuánto te amo gano?
Waledac más amoroso que nunca
Waledac e Ingeniería Social en San Valentín


# pistus

Ver más